JP2000253038A - Firewall system - Google Patents
Firewall systemInfo
- Publication number
- JP2000253038A JP2000253038A JP11049409A JP4940999A JP2000253038A JP 2000253038 A JP2000253038 A JP 2000253038A JP 11049409 A JP11049409 A JP 11049409A JP 4940999 A JP4940999 A JP 4940999A JP 2000253038 A JP2000253038 A JP 2000253038A
- Authority
- JP
- Japan
- Prior art keywords
- host computer
- proxy
- server
- internet
- cache
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はインターネットとイ
ントラネット間に設けられてデータを保護するファイア
ウオール装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a firewall device provided between the Internet and an intranet to protect data.
【0002】[0002]
【従来の技術】従来のこの種のファイアウオール装置
は、例えば図5、図6に示すように構成されている。2. Description of the Related Art A conventional firewall apparatus of this type is configured as shown in FIGS. 5 and 6, for example.
【0003】図5に示す従来のファイアウオール装置の
場合、イントラネット内のクライアント25はホストコ
ンピュータ23をプロキシーサーバーとして用いて、フ
ァイアウオールゲートウエイを構成するホストコンピュ
ータ22を越えて、プロキシー/キャッシュサーバーと
して用いたホストコンピュータ21に接続してからイン
ターネットにアクセスするように構成される。符号24
はルータを示し、符号26はネットワークを示してい
る。In the case of the conventional firewall apparatus shown in FIG. 5, a client 25 in an intranet uses a host computer 23 as a proxy server, passes over a host computer 22 constituting a firewall gateway, and uses a host computer used as a proxy / cache server. It is configured to access the Internet after connecting to the computer 21. Code 24
Indicates a router, and reference numeral 26 indicates a network.
【0004】ホストコンピュータ22では、通過できる
アドレスとポート番号が制限されており、ホストコンピ
ュータ22では一般にホストコンピュータ23のアドレ
スからのみインターネット側のホストコンピュータ21
へ接続できるようになっていて、ファイアウオール装置
を構成している。In the host computer 22, the addresses and port numbers that can pass through are restricted, and the host computer 22 generally uses only the address of the host computer 23 on the host computer 21 on the Internet side.
It can be connected to a firewall device.
【0005】図6に示す従来のファイアウオール装置の
場合、図5に示すファイアウオール装置よりも簡単にな
っていて、ホストコンピュータ23が省略されており、
イントラネット内のクライアント25は全てインターネ
ット接続を行うためにホストコンピュータ21をプロキ
シー/キャッシュサーバーとして使用する。The conventional firewall device shown in FIG. 6 is simpler than the firewall device shown in FIG. 5, and the host computer 23 is omitted.
All the clients 25 in the intranet use the host computer 21 as a proxy / cache server to make an Internet connection.
【0006】[0006]
【発明が解決しようとする課題】しかし、上記のように
構成した図5に示すファイアウオール装置では、次のよ
うな問題点がある。(a)ホストコンピュータ23に多
数のクライアントの接続要求が生じ、プロキシーサーバ
ーの負荷を重くし、イントラネット側のトラフィックが
集中する。この結果、ルーチングが複雑になる。また、
IPアドレスを用いたセキュリティの維持が難しくな
る。However, the firewall apparatus shown in FIG. 5 configured as described above has the following problems. (A) A large number of client connection requests are made to the host computer 23, increasing the load on the proxy server and concentrating intranet-side traffic. This complicates routing. Also,
It becomes difficult to maintain security using IP addresses.
【0007】さらに、(b)ホストコンピュータ22に
トラフィックが集中する。(c)拡張性が少なく、イン
トラネット側の規模が大きくなったとき、トラフィック
管理が困難になる。[0007] (b) Traffic concentrates on the host computer 22. (C) When scalability is small and the scale on the intranet side is large, traffic management becomes difficult.
【0008】図6に示すファイアウール装置では、構成
は簡単になっており、イントラネット内のクライアント
は全てインターネット接続を行うためにホストコンピュ
ータ21をプロキシー/キャッシュサーバーとして使用
するため、ホストコンピュータ22は内部の全てのクラ
イアントからホストコンピュータ21に接続できるよう
にする必要があり、次のような問題点を有する。In the firewall device shown in FIG. 6, the configuration is simple, and all the clients in the intranet use the host computer 21 as a proxy / cache server to make an Internet connection. Need to be able to connect to the host computer 21 from all of the clients, which has the following problems.
【0009】(a)セキュリティを実現する為に、グロ
ーバルなネットワークアドレスは一般的に大量に取得で
きず、イントラネット内のホストコンピュータのアドレ
スは全てプライベートアドレスにする必要がある。
(b)全てのクライアントをホストコンピュータ21や
22のアクセス制御に登録する必要があるため、ホスト
コンピュータ22のアクセス制御の設定が複雑になる。
(c)イントラネット側のネットワークの規模が大きく
なった場合、図5の例よりもルーチングがむずかしくな
り、トラフィックの影響を大きく受けてネットワークの
効率を下げる。(d)さらに、拡張性が図5に示すの場
合よりも低い。(A) In order to realize security, a large number of global network addresses cannot be generally obtained, and all addresses of host computers in an intranet need to be private addresses.
(B) Since all the clients need to be registered in the access control of the host computers 21 and 22, the setting of the access control of the host computer 22 becomes complicated.
(C) When the scale of the network on the intranet side is increased, routing becomes more difficult than in the example of FIG. (D) Furthermore, the extensibility is lower than that shown in FIG.
【0010】本発明は、セキュリテイを向上させ、かつ
トラフィックを軽くすることができるファイアウオール
装置を提供することを目的とする。[0010] It is an object of the present invention to provide a firewall device that can improve security and reduce traffic.
【0011】[0011]
【課題を解決するための手段】本発明のファイアウオー
ル装置は、イントラネット内部のクライアントが接続を
行い、オートプロキシーによってクライアントに選択さ
れ、かつプロキシー/キャッシュサーバとして用いられ
る複数の第1のホストコンピュータと、第1のホストコ
ンピュータから転送されてくる接続要求中でFQDN形
式のアドレスを判別してルーチングを行い、デフォルト
ルートは第1のホストコンピュータ側に向けられてイン
ターネット側とは直接接続されず、かつサーバーとして
用いられるときはプロキシーサーバーとして用いられる
第2のホストコンピュータと、デフォルトルートはイン
ターネット側に向けられ、第2のホストコンピュータか
らのみ接続され、かつサーバーとして用いられるときは
プロキシー/キャッシュサーバーとして用いられる第3
のホストコンピュータとを備えたことを特徴とする。According to the present invention, there is provided a firewall apparatus comprising: a plurality of first host computers which are connected to a client in an intranet, selected by an auto proxy as a client, and used as a proxy / cache server; In the connection request transferred from the first host computer, an address in the FQDN format is determined in the connection request, and routing is performed. The default route is directed to the first host computer, not directly connected to the Internet, and A second host computer used as a proxy server when used as a proxy server, and a default route directed to the Internet side, connected only from the second host computer, and a proxy / capacity when used as a server. The first is used as a shoe server 3
And a host computer.
【0012】本発明のファイアウオール装置によれば、
第1のホストコンピュータのプロキシー/キャッシュサ
ーバの記憶内容がクライアントからの要求内容とヒット
することが多くなり、第3のホストコンピュータからイ
ンターネットに接続されることは減少し、第2のホスト
コンピュータを通過するデータ量は減少して、トラッフ
ィクは軽減される。また、第2のホストコンピュータは
FQDNを用いてルーチングを切り替える為に、ネーム
サービスはイントラネット側のみで完結していればよ
く、イントラネット内部のドメインをインターネット側
から知られる危険はなく、セキュリティが向上される。According to the firewall device of the present invention,
The content stored in the proxy / cache server of the first host computer often hits the content requested by the client, the connection from the third host computer to the Internet decreases, and the content passes through the second host computer. The amount of data to be transmitted is reduced, and traffic is reduced. Further, since the second host computer switches the routing using the FQDN, the name service only needs to be completed on the intranet side, and there is no danger that the domain inside the intranet is known from the Internet side, and the security is improved. You.
【0013】[0013]
【発明の実施の形態】以下、本発明にかかるファイアウ
オール装置を実施の形態によって説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A firewall device according to the present invention will be described below with reference to an embodiment.
【0014】図1は本発明の実施の一形態にかかるファ
イアウオール装置の構成を示すブロック図であり、図2
は本発明の実施の一形態にかかるファイアウオール装置
におけるルーチングを示す模式図である。FIG. 1 is a block diagram showing the configuration of a firewall device according to an embodiment of the present invention.
FIG. 2 is a schematic diagram showing routing in the firewall device according to one embodiment of the present invention.
【0015】本発明の実施の一形態にかかるファイアウ
オール装置は、図1に示すように3層に構成してある。A firewall device according to an embodiment of the present invention has three layers as shown in FIG.
【0016】最下層の第3層目Aには、イントラネット
内のクライアントと接続するホストコンピュータ3〜5
が設けてあり、プロトコルやルーチングの管理を行わせ
る。ホストコンピュータ3〜5をサーバーとして用いる
ときはプロキシー/キャッシュサーバーとして用い、こ
れらのプロキシー/キャッシュサーバーはオートプロキ
シー機能を使用し、クライアントが任意に選択する。さ
らに、これらのプロキシー/キャッシュサーバーはさら
に後記する上位のホストコンピュータ2へスタテイック
に中継されている。In the third layer A at the lowest level, host computers 3 to 5 connected to clients in the intranet are provided.
Is provided to manage protocols and routing. When the host computers 3 to 5 are used as servers, they are used as proxy / cache servers, and these proxy / cache servers use an auto proxy function and are arbitrarily selected by the client. Further, these proxy / cache servers are statically relayed to a host computer 2 described later.
【0017】第2層目Bには、ホストコンピュータ2が
設けてあり、ホストコンピュータ2をサーバーとして用
いるときはプロキシーサーバーとして用いる。ホストコ
ンピュータ2を設けた理由は、ホストコンピュータ3、
4、5からの接続要求を後記のホストコンピュータ1へ
中継するためであり、また、ファイアウオールの機能と
してアクセス制御を行うためである。プロキシーサーバ
の中継は他のサブドメインのhttpサーバーへアクセ
スするために、他のプロキシーサーバーへの中継も行
う。A host computer 2 is provided on the second layer B. When the host computer 2 is used as a server, it is used as a proxy server. The reason for providing the host computer 2 is that the host computer 3,
This is for relaying connection requests from the host computers 4 and 5 to the host computer 1 described later, and for performing access control as a function of the firewall. The relay of the proxy server also relays to another proxy server in order to access the http server of another subdomain.
【0018】第1層目Cには、ホストコンピュータ1が
設けてあり、ホストコンピュータ1をサーバーとして用
いるときはプロキシー/キャッシュサーバーとして用い
る。ホストコンピュータ1はイントラネットからの要求
は受付、インターネットからの接続はできないようにア
クセス制御を行い、キャッシュ用のデイスクメモリを持
つている。The host computer 1 is provided on the first layer C. When the host computer 1 is used as a server, it is used as a proxy / cache server. The host computer 1 accepts a request from the intranet, performs access control so as not to connect from the Internet, and has a cache disk memory.
【0019】上記のような3層構成にしたのは、ファイ
アウオールの構成と、他のドメインとのルーテイングを
行う必要のためでもある。The above-mentioned three-layer structure is also used for the firewall structure and the necessity of routing with another domain.
【0020】なお、図1において符号6〜8はルータを
示し、ルータ6はインターネット接続を行うためのルー
タである。図2において符号9はクライアントを示し、
符号11および31はそれぞれホストコンピュータ1の
キャッシュ用デイスクメモリ、ホストコンピュータ3、
4、5のキャッシュ用デイスクを示している。In FIG. 1, reference numerals 6 to 8 denote routers, and the router 6 is a router for making an Internet connection. In FIG. 2, reference numeral 9 indicates a client,
Reference numerals 11 and 31 denote a cache disk memory of the host computer 1, the host computer 3,
4 and 5 show cache disks.
【0021】さらに説明する。ホストコンピュータ1
は、サーバーとして用いるときはプロキシー/キャッシ
ュサーバとして用い、デフォルトのルーチングはルータ
6に向けてあり、プロキシー/キャッシュサーバーへの
接続は、ホストコンピュータ2からのみ接続できるよう
にアクセス制御がかけてある。Further description will be given. Host computer 1
Is used as a proxy / cache server when used as a server, default routing is directed to the router 6, and access to the proxy / cache server is controlled so that it can be connected only from the host computer 2.
【0022】ホストコンピュータ2は、キャッシュを持
っていない。ホストに対する負担を軽くするためにホス
トコンピュータ3、4、5等から転送されてくる接続要
求の中で、IPアドレスによる表現ではなくFQDN
(フルリー、クオリファイド、ドメイン、ネーム)形式
のアドレスを判断し、インターネット側もしくは別のサ
ブドメインへのルーチングを行う。例えば、foo.b
ar.com以外のbar.comというドメイン宛の
接続は別のドメインへ、bar.com以外のドメイン
への要求はホストコンピュータ1へ接続を行う。The host computer 2 does not have a cache. In connection requests transferred from the host computers 3, 4, 5, etc., in order to reduce the burden on the host, FQDN is used instead of the expression using the IP address.
Judgment of addresses in the form of (fully, qualified, domain, name) and routing to the Internet or another subdomain. For example, foo. b
ar. com. bar. com to a domain called bar.com. A request to a domain other than “com” connects to the host computer 1.
【0023】なお、ホストコンピュータ2へはホストコ
ンピュータ3、4、5のいずれかのみが接続できるよう
にアクセス制御を行い、デフォルトルートは内部に向け
られ、インターネット側からはこのホストコンピュータ
3、4、5に接続はできない。Access control is performed so that only one of the host computers 3, 4, and 5 can be connected to the host computer 2. The default route is directed to the inside, and from the Internet side, the host computers 3, 4, and 5 are connected. 5 cannot be connected.
【0024】ホストコンピュータ3、4、5は、プロキ
シー/キャッシュサーバーであり、各々キャッシュの機
能を持っている。内部のネットワークに属するクライア
ントはこれらホストコンピュータ3、4、5のプロキシ
ー/キャッシュサーバーを次のような基準ルールで選択
して接続を行い、各サーバーのディスクやネットワーク
の負担を軽くしている。The host computers 3, 4, and 5 are proxy / cache servers, each having a cache function. Clients belonging to the internal network select the proxy / cache servers of the host computers 3, 4, and 5 based on the following reference rules to make connection, thereby reducing the load on the disk and network of each server.
【0025】クライアントによるホストコンピュータ
3、4、5のプロキシー/キャッシュサーバーの切替基
準ルールは、接続要求をしているURLキャラクターを
論理加算しさらに3で割り(3台のプロキシー/キャッ
シュサーバーを使用した場合)、剰余でホストコンピュ
ータ3、ホストコンピュータ4、またはホストコンピュ
ータ5を選択する。また、例えば、その過程でホストコ
ンピュータ3が選択されたが、ホストコンピュータ3が
動作停止している場合はホストコンピュータ4に、さら
にホストコンピュータ4が停止している場合はホストコ
ンピュータ5を使用するようにプロキシーの切り替えの
ルールが定めてある。具体的な切り替えはクライアント
へ供給されているプログラムでブラウザが実施する。The rule for switching the proxy / cache servers of the host computers 3, 4, and 5 by the client is that the URL character making the connection request is logically added and then divided by 3 (three proxy / cache servers are used). In the case), the host computer 3, the host computer 4, or the host computer 5 is selected by the remainder. For example, if the host computer 3 is selected in the process, but the host computer 3 is stopped, the host computer 4 is used. If the host computer 4 is stopped, the host computer 5 is used. Has rules for proxy switching. The specific switching is performed by the browser using a program supplied to the client.
【0026】そこで、本発明の実施の一形態にかかるフ
ァイアウオール装置では、インターネット接続を行うと
き、ホストコンピュータ3、4、5をプロキシー/キャ
ッシュサーバーとして用い、キャッシュのヒット率をあ
げることができて、ホストコンピュータ2を介してホス
トコンピュータ1への接続要求が減少し、ホストコンピ
ュータ1、2の負担が軽減され、ホストコンピュータ2
に対するトラフィックが軽減される。Therefore, in the firewall apparatus according to the embodiment of the present invention, the host computer 3, 4, 5 can be used as a proxy / cache server when connecting to the Internet, and the cache hit rate can be increased. The number of connection requests to the host computer 1 via the host computer 2 is reduced, the load on the host computers 1 and 2 is reduced, and the
Traffic is reduced.
【0027】次に、ホストコンピュータ1、3、4およ
び5に充分大きな記憶容量のキャッシュサーバー用のデ
ィスクメモリ11、31を設け、さらに、各々のホスト
コンピュータ1、3、4および5では同時に開くことが
できるファイルの数を充分大きくし、要求の待ち時間を
短くしキャッシュのパラメータを調整し一度に上記のプ
ロキシーサーバーであるホストコンピュータ1への要求
を出す大きさを大きくすることによりヒット率が向上
し、インターネットへの接続要求が減少し、トラフィッ
クが軽減された。Next, the host computers 1, 3, 4 and 5 are provided with disk memories 11 and 31 for a cache server having a sufficiently large storage capacity, and the host computers 1, 3, 4 and 5 simultaneously open the disk memories. The hit rate is improved by increasing the number of files that can be generated, shortening the waiting time of requests, adjusting the cache parameters, and increasing the size of issuing requests to the host computer 1 serving as the proxy server at a time. The demand for connection to the Internet was reduced, and traffic was reduced.
【0028】この結果、各週における実線、破線および
一点鎖線で示すホストコンピュータ3、4、5における
ヒット率の変化は、図3に示すように本発明の実施の一
形態にかかるファイアウオール装置を用いた第2週目か
ら増加し、一点差線で示すホストコンピュータ1に対す
るインターネットへの接続要求は第2週目から減少して
いる。図4は、さらに第6週目を加えたときの例を示し
ている。図3および図4において、二点差線はホストコ
ンピュータにおけるヒット率を示している。As a result, the change of the hit rate in the host computers 3, 4, and 5 shown by the solid line, the broken line and the dashed line in each week was obtained by using the firewall apparatus according to the embodiment of the present invention as shown in FIG. The number of requests for connection to the Internet to the host computer 1 indicated by a dashed line has increased since the second week, and has decreased since the second week. FIG. 4 shows an example when the sixth week is further added. 3 and 4, the two-dot line indicates the hit ratio in the host computer.
【0029】また、上記したように、オートプロキシー
の実装にあたり、クライアントは要求したプロキシー/
キャッシュサーバーが動作を停止している場合、次のプ
ロキシー/キャッシュサーバーへ要求を自動的に切り替
えるようにプログラムすることにより、この切り替え時
には、多少時間はかかるが、次のタイミングからは通常
どうりになる。As described above, when implementing the auto proxy, the client requests the proxy /
If the cache server is down, program it to automatically switch requests to the next proxy / cache server. Become.
【0030】キャッシュサーバー用のディスクメモリを
ホストコンピュータ3、4、5に分割し、また、オート
プロキシーしてプロキシーサーバーを切り換える効果に
より、一つのページを読むときに一般に複数のURLへ
の要求が出されるが、この要求を複数のプロキシー/キ
ャッシュサーバーで処理されるためディスクの待ち時間
を低減することができ、また一台のプロキシー/キャッ
シュサーバーへ上記のような複数のURLの要求が集中
しないため、ディスクメモリやネットワークへの負担が
軽くなり一台のホストコンピュータにて行うより速度が
改善される。When the disk memory for the cache server is divided into the host computers 3, 4, and 5, and the proxy server is switched by performing auto proxy, a request to a plurality of URLs is generally issued when one page is read. However, since this request is processed by a plurality of proxy / cache servers, the waiting time on the disk can be reduced, and the requests for the plurality of URLs are not concentrated on one proxy / cache server. In addition, the load on the disk memory and the network is reduced, and the speed is improved as compared with a single host computer.
【0031】また、ホストコンピュータ1とホストコン
ピュータ3、4、5との2段のキャッシュを行っている
ために、見かけ上の速度が向上する。これは、まず、ホ
ストコンピュータ3、4、5のプロキシー/キャッシュ
サーバーに要求されたデータが残されている確率が高く
なり、ホストコンピュータ3、4、5のプロキシー/キ
ャッシュサーバー間での中継を行い、ホストコンピュー
タ1のプロキシー/キャッシュサーバーがオブジェクト
を取り込む時は一度に大量のオブジェクトを要求するよ
うにし、ホストコンピュータ3、4、5のプロキシー/
キャッシュサーバーではホストコンピュータ1のプロキ
シー/キャッシュサーバーに対して小さな量で分割して
処理し、一回にセッションをはっている時間を短くし他
の目的に使用するセッションをはりやすくすることで、
ホストコンピュータ1とホストコンピュータ2、3、4
のプロキシー/キャッシュサーバー間のネットワークの
負担を少なくしているためである。Since the host computer 1 and the host computers 3, 4, and 5 perform two-stage caching, the apparent speed is improved. First, the probability that the requested data remains in the proxy / cache servers of the host computers 3, 4, and 5 increases, and the relay between the proxy / cache servers of the host computers 3, 4, and 5 is performed. When the proxy / cache server of the host computer 1 takes in an object, it requests a large number of objects at once, and the proxy / cache server of the host computer 3, 4, 5
The cache server divides and processes the proxy / cache server of the host computer 1 in a small amount, shortens the time for one session at a time, and facilitates the use of sessions for other purposes.
Host computer 1 and host computers 2, 3, 4
This is because the load on the network between the proxy / cache server is reduced.
【0032】インターネットとの間でネームサービスを
交換しないため、セキュリティは改善される。さらにホ
ストコンピュータ2を通過するデータ量が減少し、セキ
ュリティ面のみでなくトラフィックを大幅に少なくする
ことができ、ホストコンピュータ1とホストコンピュー
タ3、4、5の間の接続が円滑になる。Security is improved because no name service is exchanged with the Internet. Further, the amount of data passing through the host computer 2 is reduced, so that not only security but also traffic can be greatly reduced, and the connection between the host computer 1 and the host computers 3, 4, and 5 becomes smooth.
【0033】[0033]
【発明の効果】以上説明したように本発明にかかるファ
イアウオール装置によれば、第2のホストコンピュータ
はFQDNを用いてルーチングを切り替える為に、ネー
ムサービスはイントラネット側のみで完結していればよ
く、イントラネット内部のドメインをインターネット側
から知られる危険はなく、セキュリティが改善される。As described above, according to the firewall apparatus of the present invention, since the second host computer switches the routing using the FQDN, the name service only needs to be completed only on the intranet side. There is no danger that the domain inside the intranet is known from the Internet side, and the security is improved.
【0034】また、本発明にかかるファイアウオール装
置によれば、第2のホストコンピュータのスイッチ機能
を用いることで別のサブドメインとのプロキシー/キャ
ッシュサーバーの中継を任意に作成できる拡張性を持
つ。中継を行う事でサブドメイン間のルーチングを簡単
にし、トラフィックを軽くする事ができる。Further, the firewall device according to the present invention has expandability in which the relay function of the proxy / cache server with another subdomain can be arbitrarily created by using the switch function of the second host computer. By performing relaying, routing between subdomains can be simplified and traffic can be reduced.
【0035】さらに、本発明にかかるファイアウオール
装置によれば、第2のホストコンピュータのアクセス制
御はイントラネット側の第1のホストコンピュータのみ
の接続を許可するため、またインターネット側の第3の
ホストコンピュータも第2のホストコンピュータを通過
したプロトコルのみの接続を許可するためセキュリティ
が改善される。Further, according to the firewall apparatus of the present invention, the access control of the second host computer permits the connection of only the first host computer on the intranet side, and the third host computer on the Internet side also controls the access. Security is improved because only the protocol that has passed through the second host computer is permitted to be connected.
【0036】さらにまた、本発明にかかるファイアウオ
ール装置によれば、イントラネット側のプロキシー/キ
ャッシュサーバーは分散されているため、負荷を分散す
る事ができると共に、何れかが動作を停止しても動作し
ているイントラネット側のプロキシー/キャッシュサー
バーが代行し全くインターネット接続がでないというこ
とは少なくなる。Further, according to the firewall apparatus of the present invention, since the proxy / cache servers on the intranet side are distributed, the load can be distributed, and even if one of them stops operating, it operates. It is less likely that the proxy / cache server on the side of the intranet will be acting on behalf of the Internet.
【0037】また、本発明にかかるファイアウオール装
置によれば、イントラネット側の第1のホストコンピュ
ータさらに下にプロキシー/キャッシュサーバーを設け
中継を行う事でさらにネットワークを拡張する事ができ
て、その実施によってトラフィックやルーチングの管理
が容易になる。Further, according to the firewall apparatus of the present invention, a proxy / cache server can be provided below the first host computer on the intranet and relaying can be performed to further expand the network. Traffic and routing management becomes easier.
【0038】また、本発明にかかるファイアウオール装
置によれば、イントラネット側とインターネット側にプ
ロキシー/キャッシュサーバーとして用いる第1、第3
のホストコンピュータを設けているために、第2のホス
トコンピュータにかかるトラフィックを軽減することが
できる。ネットワークは拡張や変更が行われていき、そ
れに従いルーチングもトラフィックも変わってきても、
本発明にかかるファイアウオール装置では、機能分担が
なされているために、容易にネットワークを拡張しなが
らセキュルテイを維持することが可能となる。Further, according to the firewall apparatus of the present invention, the first and third servers used as proxy / cache servers on the intranet side and the Internet side.
, The traffic on the second host computer can be reduced. As networks evolve and change, so do routing and traffic,
In the firewall apparatus according to the present invention, since the functions are shared, it is possible to easily maintain the security while expanding the network.
【図1】本発明の実施の一形態にかかるファイアウオー
ル装置の構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of a firewall device according to an embodiment of the present invention.
【図2】本発明の実施の一形態にかかるファイアウオー
ル装置におけるルーチングを示す模式図である。FIG. 2 is a schematic diagram showing routing in the firewall device according to one embodiment of the present invention.
【図3】本発明の実施の一形態にかかるファイアウオー
ル装置の作用の説明に供する説明図である。FIG. 3 is an explanatory diagram for explaining an operation of the firewall device according to the embodiment of the present invention;
【図4】本発明の実施の一形態にかかるファイアウオー
ル装置の作用の説明に供する説明図である。FIG. 4 is an explanatory diagram for explaining an operation of the firewall device according to the embodiment of the present invention;
【図5】従来のファイアウオール装置の構成を示すブロ
ック図である。FIG. 5 is a block diagram showing a configuration of a conventional firewall device.
【図6】従来の他のファイアウオール装置の構成を示す
ブロック図である。FIG. 6 is a block diagram showing the configuration of another conventional firewall device.
1〜5 ホストコンピュータ 6〜8 ルータ 11および31 デイスクメモリ 26 ネットワーク 1-5 Host computer 6-8 Router 11 and 31 Disk memory 26 Network
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B082 GA11 HA08 5B089 GA01 GA19 GA21 GA31 GB01 HA10 KA07 KA17 KB06 KG08 5K030 HA08 HC01 HC14 HD03 HD06 JT06 LB05 LD11 LD20 5K033 AA03 AA08 CB06 CB08 DA06 DB12 DB14 DB16 DB18 9A001 BB03 CC08 JJ25 KK31 LZ03 ──────────────────────────────────────────────────続 き Continued on the front page F term (reference) 5B082 GA11 HA08 5B089 GA01 GA19 GA21 GA31 GB01 HA10 KA07 KA17 KB06 KG08 5K030 HA08 HC01 HC14 HD03 HD06 JT06 LB05 LD11 LD20 5K033 AA03 AA08 CB06 CB08 DA06 DB12 DB14 DB18 DB18 9 KK31 LZ03
Claims (1)
を行い、オートプロキシーによってクライアントに選択
され、かつプロキシー/キャッシュサーバとして用いら
れる複数の第1のホストコンピュータと、 第1のホストコンピュータから転送されてくる接続要求
中でFQDN形式のアドレスを判別してルーチングを行
い、デフォルトルートは第1のホストコンピュータ側に
向けられてインターネット側とは直接接続されず、かつ
サーバーとして用いられるときはプロキシーサーバーと
して用いられる第2のホストコンピュータと、 デフォルトルートはインターネット側に向けられ、第2
のホストコンピュータからのみ接続され、かつサーバー
として用いられるときはプロキシー/キャッシュサーバ
ーとして用いられる第3のホストコンピュータとを備え
たことを特徴とするファイアウオール装置。1. A plurality of first host computers which are connected by a client inside an intranet, are selected as clients by an auto proxy, and are used as a proxy / cache server, and connections transferred from the first host computer. The FQDN format address is discriminated in the request and routing is performed. The default route is directed to the first host computer side and is not directly connected to the Internet side, and when used as a server, the default route is used as a proxy server. The second host computer and the default route are directed to the Internet side,
A third host computer which is connected only from the host computer and which is used as a proxy / cache server when used as a server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11049409A JP2000253038A (en) | 1999-02-26 | 1999-02-26 | Firewall system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11049409A JP2000253038A (en) | 1999-02-26 | 1999-02-26 | Firewall system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000253038A true JP2000253038A (en) | 2000-09-14 |
Family
ID=12830268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11049409A Pending JP2000253038A (en) | 1999-02-26 | 1999-02-26 | Firewall system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000253038A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003256392A (en) * | 2002-03-04 | 2003-09-12 | Ntt Comware Corp | Load balance control device and load balance control method |
| EP1469651A2 (en) * | 2003-04-17 | 2004-10-20 | CC CompuNet Computer AG & Co. oHG | Computer network leakage detection |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10126440A (en) * | 1996-10-18 | 1998-05-15 | Hitachi Ltd | Network communication method and equipment |
| JPH10222411A (en) * | 1997-02-05 | 1998-08-21 | Nippon Telegr & Teleph Corp <Ntt> | Proxy cache server control method and proxy cache server |
-
1999
- 1999-02-26 JP JP11049409A patent/JP2000253038A/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10126440A (en) * | 1996-10-18 | 1998-05-15 | Hitachi Ltd | Network communication method and equipment |
| JPH10222411A (en) * | 1997-02-05 | 1998-08-21 | Nippon Telegr & Teleph Corp <Ntt> | Proxy cache server control method and proxy cache server |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003256392A (en) * | 2002-03-04 | 2003-09-12 | Ntt Comware Corp | Load balance control device and load balance control method |
| EP1469651A2 (en) * | 2003-04-17 | 2004-10-20 | CC CompuNet Computer AG & Co. oHG | Computer network leakage detection |
| EP1469651A3 (en) * | 2003-04-17 | 2004-12-29 | CC CompuNet Computer AG & Co. oHG | Computer network leakage detection |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6789125B1 (en) | Distributed network traffic load balancing technique implemented without gateway router | |
| JP4236303B2 (en) | Link level server / switch trunking method | |
| US7571470B2 (en) | One arm data center topology with layer 4 and layer 7 services | |
| US6085234A (en) | Remote file services network-infrastructure cache | |
| US7102996B1 (en) | Method and system for scaling network traffic managers | |
| Barish et al. | World wide web caching: Trends and techniques | |
| JP4902635B2 (en) | Connection forwarding | |
| EP2853077B1 (en) | Method of seamless integration and independent evolution of information-centric networking via software defined networking | |
| US8166197B2 (en) | Multipath routing process | |
| US6470389B1 (en) | Hosting a network service on a cluster of servers using a single-address image | |
| US7315541B1 (en) | Methods and apparatus for routing a content request | |
| US7653747B2 (en) | Resolving virtual network names | |
| JP4592184B2 (en) | Method and apparatus for accessing device with static identifier and intermittently connected to network | |
| US7185100B2 (en) | System and method for determining a preferred mirrored service in a network by evaluating a border gateway protocol | |
| US7363347B2 (en) | Method and system for reestablishing connection information on a switch connected to plural servers in a computer network | |
| US6742044B1 (en) | Distributed network traffic load balancing technique implemented without gateway router | |
| US10708767B2 (en) | Anycast manifest retrieval, unicast content retrieval | |
| NO331320B1 (en) | Balancing network load using host machine status information | |
| CN112398902B (en) | High availability load balancing method, system and computer readable storage medium | |
| EP1320977A2 (en) | Virtual ip framework and interfacing method | |
| CN115086312A (en) | Method and system for realizing kubernets service cross-cluster communication | |
| US6724724B1 (en) | System and method for resolving an electronic address | |
| US20020199017A1 (en) | Routing meta data for network file access | |
| JP4619943B2 (en) | Packet communication method and packet communication system | |
| US7711780B1 (en) | Method for distributed end-to-end dynamic horizontal scalability |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040127 |